Schlagwort: Beschäftigtendatenschutz
25. April 2023
Zurzeit planen das Bundesinnenministerium (BMI) und das Bundesarbeitsministerium (BMAS) neue Reglementierungen für den Beschäftigtendatenschutz. Dies geht aus einer Liste mit Vorschlägen für einen Gesetzesentwurf des Beschäftigtendatenschutzes hervor, über die verschiedene Nachrichtenportale (hier oder hier nachzulesen) berichtet haben.
Besserer Schutz vor Überwachung
Mit dem geplanten Gesetzesvorhaben beabsichtigten das BMI und BMAS einen besseren Schutz von Beschäftigten vor Überwachungsmaßnahmen des Arbeitgebers. Ein Ziel sei u.a. verdeckte Überwachungsmaßnahmen besser zu reglementieren. Derzeit kann beispielsweise die verdeckte Videoüberwachung nur ausnahmsweise, unter strengen Voraussetzungen eingesetzt werden. Möchte ein Arbeitgeber die verdeckte Videoüberwachung beispielsweise zur Aufklärung von Straftaten einsetzen, darf kein Mittel zur Verfügung stehen, dass die Persönlichkeitsrechte der Beschäftigten weniger intensiv tangiert. Zur Regulierung der verdeckten Überwachungsmaßnahmen, sehen BMI und BMAS nun konkrete Maßnahmen vor. Dabei solle die Überwachung nur möglich sein, wenn der eindeutige Verdacht einer Straftat vorliege und andere Abhilfemaßnahmen bereits ausgeschöpft worden seien.
Außerdem beabsichtigen die Ministerien neue Regelungen für die offene Videoüberwachung. Demnach solle die gesetzliche Neuregelung die Privatsphäre von Beschäftigten besser schützen. Eine offene Überwachung am Arbeitsplatz müsse strengen Grenzen unterfallen. Beschäftigte benötigten Räume, in denen keine Kameraüberwachung erlaubt sei. Auch die Zeiten, zu denen eine Überwachung erfolge solle eingeschränkt werden. Derzeit ist vor allem die Kameraüberwachung bestimmter Räume als unzulässig anzusehen. Dazu zählen Umkleiden, sowie Pausenräume und Toiletten.
Darüber hinaus planten das BMI und BMAS die Konkretisierung des Einwilligungserfordernis im Beschäftigtenverhältnis. Derzeit kann die Kameraüberwachung auf Grundlage einer Einwilligung nach § 26 Abs. 2 S. 1 BDSG erfolgen. Der Gesetzentwurf solle die Anforderungen der Freiwilligkeit, die Voraussetzung einer wirksamen Einwilligung sei, konkretisieren.
Zusätzlich plane das BMI und BMAS eine Regelung zu Fragestellung, die im Rahmen eines Bewerbungsgespräch zulässig seien. Im Hinblick auf Fragen, die ein Bewerber beantworten muss, kann es grundsätzlich zur Verarbeitung personenbezogener Daten besonderer Kategorie iSd Art. 9 DSGVO kommen.
Fazit
Es bleibt abzuwarten, welche konkreten Vorschläge der geplante Gesetzentwurf enthalten wird. Zurzeit bleibt es denkbar, dass der Gesetzesentwurf zugleich die Bedenken, die der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 30.03.2023 (Az. C-23/21) aufbrachte, behandelt oder zumindest im Ansatz berührt (wir berichteten).
14. Dezember 2022
Der aktuelle 11. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) befasst sich mit diesem interessanten Thema aus dem Beschäftigtenkontext:
Bei der Einstellung eines neuen Mitarbeiters gehört es zum Standard, dass dieser eine entsprechende Erklärung zum vertraulichen Umgang mit personenbezogenen Daten bzw. der Einhaltung der datenschutzrechtlichen Anforderungen unterzeichnet.
Einen Mustertext findet man im Kurzpapier Nr. 19 der Datenschutzkonferenz (DSK), das auch im oben genannten Tätigkeitsbericht beiliegt (S. 51).
Das BayLDA erörtert in seinem Tätigkeitsbericht, welche Folgen es hat, wenn ein Beschäftigter sich weigert, die Verpflichtung auf das Datengeheimnis zu unterzeichnen.
Dürfen Beschäftigte ihre Unterschrift verweigern?
Nach Ansicht des BayLDA sei eine Unterschriftsverweigerung irrelevant.
Weigert sich der Arbeitnehmer, die Erklärung zu unterzeichnen, dann reiche es aus, dass der Arbeitgeber den bestehenden Prozess nachweist, den Beschäftigten auf die Einhaltung der datenschutzrechtlichen Pflichten hinweist und auch die Weigerung einschließlich des Umstandes der Weigerung dokumentiert. Zwar sieht das Gesetz dabei kein Formerfordernis für die Verpflichtung vor, dennoch empfiehlt es sich wegen der nachzukommenden Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO eine unterzeichnete Erklärung des Beschäftigten (in schriftlicher oder elektronischer Form) bereitzuhalten.
Schließlich kann sich durch die Weigerung des Beschäftigten die Einhaltung der datenschutzrechtlichen Pflichten, die sich insbesondere aus der DSGVO ergeben, nicht einfach ausgehebelt werden. Die Stellungnahme des BayLDA dazu ist für Arbeitgeber sehr praxistauglich.
7. Oktober 2022
Vor kurzem legte der Generalanwalt Manuel Campos Sánchez-Bordona seine Schlussanträge in der Rechtssache C-34/21 vor. Darin befasste er sich u.a. mit der Frage, ob § 23 des Hessischen Landesdatenschutzgesetzes (HDSIG) eine „spezifische Vorschrift“ im Sinne des Art. 88 DSGVO darstelle. Obwohl § 23 HDSIG eine landesrechtliche Vorschrift ist, könnten die Schlussanträge nationale Beachtung erlangen. Grund dafür ist, dass § 23 HDSIG gleichlautend mit § 26 BDSG ist.
Hintergrund
Die Vorlagefrage wurde dem EuGH vom VG Wiesbaden vorgelegt. In der Rechtssache stritten die beteiligten Parteien über die Durchführung von Online-Unterricht mittels eines Videokonferenzsystems. Konkret stand zur Debatte, ob Schulen die personenbezogenen Daten von Lehrkräften auf Grundlage einer Einwilligung verarbeiten können, oder ob als Rechtsgrundlage das berechtigte Interesse heranzuziehen sei.
Das vorlegende Gericht wollte wissen, ob § 23 HDSIG als „(…) eine „spezifischere Vorschrift“ hinsichtlich der Verarbeitung von personenbezogenen Beschäftigtendaten nach Art. 88 DSGVO anzusehen sei.“ (GA Sánchez-Bordona, Schlussanträge vom 22.09.22, Rs. C-34/21, Rn. 11)
Nach Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten hinsichtlich der Datenverarbeitung im Beschäftigtenkontext nationale Regelungen erlassen. Der Generalanwalt Sánchez-Bordona stellte fest, dass eine spezifischere Vorschrift nur vorliege, wenn die Voraussetzungen des Art. 88 Abs. 2 DSGVO erfüllt seien. Die Norm müsse „geeignete und besondere Maßnahmen zur Wahrung der Würde, der berechtigten Interessen und der Grundrechte der Beschäftigten enthalten.“
Argumente
Aus Sicht des Generalanwaltes Sánchez-Bordona sei § 23 HDSIG keine speziellere Regelung im Sinne des Art. 88 DSGVO. Diese Ansicht begründete der Generalanwalt mit der Systematik und dem Wortlaut der Normen. Nach § 23 HDSIG könne ein Verantwortlicher die personenbezogenen Daten von Beschäftigten verarbeiten, wenn dies für einen bestimmten Zweck erforderlich sei. Die nationale Norm lege als Zwecke konkret „(…) die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses (…) die Durchführung, Beendigung oder Abwicklung“ des Beschäftigtenverhältnisses fest.
Insoweit treffe § 23 HDSIG keine Bestimmung, die von Art. 6 Abs. lit. b DSGVO abweiche. Die Norm lege keine Regelung fest, die dem Schutz der Beschäftigtenrechte bei Verarbeitung ihrer personenbezogenen Daten diene. Dies sei aber für die Anforderung an eine „speziellere“, den Art. 88 DSGVO konkretisierende Norm erforderlich.
Fazit
Bei seiner Entscheidung ist der EuGH nicht an den Vortrag des Generalstaatsanwaltes gebunden. Es ist aber nicht ausgeschlossen, dass die Stellungnahme im Rahmen des Beschäftigtendatenschutzes künftig Beachtung findet.
14. Juli 2022
Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?
Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung
Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.
Die Anforderungen der DSGVO an Urlaubskalender
Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig. Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.
Urlaubskalender, zugänglich für alle?
Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.
6. Mai 2022
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich “dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen” ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).
Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.”
Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.
15. Dezember 2021
Die Berliner Senatsjustizverwaltung muss Daten der im Land Berlin beschäftigten Richterinnen und Richter nur zugänglich machen, sofern eine Einwilligungserklärung der Betroffenen vorliegt. Dies geht aus einer Entscheidung des VG Berlin hervor.
Der Entscheidung vorausgegangen war eine Klage der advolytics UG, welche das digitale Bewertungsportal “richterscore” betreibt. Dort können sich Anwälte über Richter austauschen, um sich auf Gerichtsprozesse vorzubereiten. Unter Berufung auf das Berliner Informationsfreiheitsgesetz verlangte advolytics die Übermittlung von Informationen über die im Land Berlin beschäftigten Richterinnen und Richter. Das Auskunftsersuchen beinhaltete neben Namen, Titel und Amtsbezeichnung auch das Geburtsdatum sowie der Beschäftigungsumfang. Insbesondere berief sich die Klägerin darauf, dass dem C.F. Müller Verlag, bei dem der Deutschen Richterbund alle zwei Jahre das “Handbuch der Justiz” herausgibt, die begehrten Daten mitgeteilt werden.
Nach Ansicht des Verwaltungsgerichtes stehe dem Auskunftsanspruch der advolytics jedoch der Schutz personenbezogener Daten entgegen. Die Klägerin verfolge überwiegend Privatinteressen, weil sie mit den begehrten Daten ihr Bewertungsportal ausbauen und damit ihr Geschäftsmodell verwirklichen wolle. Ihr Interesse, die Gerichtsbarkeiten transparenter zu machen, sei nicht vom Zweck des Informationsfreiheitsgesetzes erfasst. Mit den begehrten Daten könne weder staatliches Verwaltungshandeln kontrolliert, noch die demokratische Meinungs- und Willensbildung gefördert werden. Darüber hinaus stünden auch bundesrechtliche Geheimhaltungspflichten der beantragten Datenübermittlung entgegen, da es sich um Daten aus Personalakten handele. Auch im Bezug auf die unterschiedliche Behandlung der Klägerin gegenüber dem Deutschen Richterbund vertrat das Gericht eine gegensätzliche Auffassung, da entsprechende zweckbezogene Einwilligungserklärungen der Richterschaft vorlägen.
Gegen das Urteil kann vor dem Oberverwaltungsgericht Berlin-Brandenburg Berufung eingelegt werden.
12. Januar 2021
Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.
Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente
Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.
Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.
Besondere Schwere des Grundrechtseingriffs betont
Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.
notebooksbilliger.de kündigt Einspruch an
Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.
8. Oktober 2020
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte ein Bußgeld i.H.v. 35,3 Millionen Euro gegen die Modekette H&M. Das bisher höchste verhängte Bußgeld nach Inkrafttreten der DSGVO wurde verhängte, weil H&M umfangreiches Mitarbeiter-Tracking betrieben hatte.
Mindestens seit dem Jahr 2014 wurden im Servicecenter in Nürnberg umfangreiche Angaben über private Lebensumstände eines Teils der Beschäftigten erfasst und entsprechende Notizen auf einem Netzwerklaufwerk dauerhaft gespeichert. Vorgesetzte führten mit Beschäftigen, die wegen eines Urlaubs oder einer Krankheit auch kurzzeitig abwesend waren, “Welcome Back Talks” durch. Dabei wurden etwa konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen abgefragt und gespeichert. Zudem sollen sich Vorgesetzte ein breites Wissen über das Privatleben ihrer Angestellten angeeignet haben, etwa über familiäre Probleme oder religiöse Ansichten. Die gespeicherten Angaben waren für bis zu 50 Führungskräfte des Unternehmens einsehbar. Mit den teilweise akribischen Angaben wurden Profile der Beschäftigten erstellt und zur Analyse der individuellen Arbeitsleistung genutzt.
Die umfassende Speicherung ist aufgeflogen, als im Oktober 2019 aufgrund eines Konfigurationsfehlers die Datenbank für einige Stunden unternehmensweit offen einsehbar war. Auf Verlangen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit legte H&M einen Datensatz von rund 60 Gigabyte vor.
H&M hat sich einsichtig gezeigt, indem ein Konzept mit verschiedenen Abhilfemaßnahmen vorgelegt wurde und den betroffenen Beschäftigten neben einer Entschuldigung ein Schadensersatz in beachtlicher Höhe versprochen wurde. Nach Aussage von Professor Caspar handele es sich um “ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.” Diese wurde bei der Bemessung der Bußgeldhöhe beachtet.
Ein solches Rekordbußgeld lässt sich durch die Ausarbeitung eines umfassenden Datenschutzkonzepts vermeiden. Wichtig sind insbesondere fachgerechte Schulungen aller Mitarbeiter in Datenschutz- und Compliance-Fragen und die Implementierung eines Datenschutz-Management-Systems. Unstrukturierte Datenerfassungen bergen ein immenses Risiko. Neben der Datenerfassung muss auch die Datennutzung rechtlich einwandfrei gehandhabt werden. Hier hilft besonders die Ausarbeitung eines Berechtigungskonzepts, in dem beschrieben wird, welche Zugriffsregeln für einzelne Mitarbeiter oder Mitarbeitergruppen auf die Daten eines Unternehmens gelten.
Das Unternehmen kündigte an, den Beschluss sorgfältig zu prüfen. Bislang ist nicht davon auszugehen, dass H&M dagegen vorgehen wird. Anders handhabt dies 1&1, das ein Bußgeld in Höhe von rund 10 Millionen Euro zahlen sollte. Hier beginnt der Prozess am Donnerstag, den 08.10.2020, vor dem Landgericht Bonn. Für H&M hätte es noch deutlich teurer werden können. Denn die DSGVO sieht für solche Verstöße einen Bußgeldrahmen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro vor, je nachdem welcher Betrag höher ist.
10. September 2019
In dem Fall ging es um das Einblicksrecht des Betriebsrats in Bruttoentgeltlisten. Der Arbeitgeber betrieb eine Klinik, die einem gekündigten Manteltarifvertrag unterfällt. Die Klinik führte seit einiger Zeit die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Dabei enthielten die Listen die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu weiteren Bezügen. Der Arbeitgeber gewährte dem Betriebsrat nur Einsicht in eine anonymisierte Fassung dieser Listen.
Der Betriebsrat verlangte für seinen Betriebsausschuss Einblick in eine ungeschwärzte Fassung der Bruttoentgeltlisten mit sämtlichen Klarnamen. Nur so lasse es sich feststellen, ob der Arbeitgeber die Vergütungsgrundsätze eingehalten hat.
Das Bundesarbeitsgericht (BAG) sprach dem Betriebsausschuss ein Einsichtnahmerecht in die nicht-anonymisierten Bruttoentgeltlisten zu. Dabei hat das BAG nun entschieden, dass dieses Einblicksrecht auch unter Berücksichtigung datenschutzrechtlicher Vorgaben nicht-anonymisierte Bruttoentgeltlisten umfasst. Der Arbeitgeber ist nach § 80 Abs. 2 S. 2 Betriebsverfassungsgesetz (BetrVG) verpflichtet, dem Betriebsausschuss Einblick in die nicht-anonymisierten Bruttoentgeltlisten zu gewähren. Der Arbeitgeber muss dem Betriebsrat auf sein Verlangen alle für die Betriebsratsarbeit nötigen Unterlagen zur Verfügung stellen. Um zu prüfen, ob die innerbetriebliche Lohngerechtigkeit eingehalten ist, muss der Betriebsrat über die effektiv gezahlten Vergütungen Bescheid wissen. Daher darf der hier zuständige Betriebsausschuss Einblick in die Bruttogehaltslisten mit Namen nehmen.
Das Gewähren von Einblick in die personifizierten Gehaltslisten stellt eine Verarbeitung personenbezogener Daten im Sinne des Datenschutzrechts dar. Das Beschäftigungsdatenschutzrecht erlaubt jedoch eine solche Verarbeitung, wenn diese zur Ausübung der sich aus dem BetrVG ergebenden Rechte und Pflichten des Betriebsrats nötig ist. Das ist vorliegend der Fall, da der Betriebsrat sonst nicht seinen betriebsverfassungsrechtlichen Pflichten nachkommen kann.
20. März 2018
Das Interesse am Beschäftigtendatenschutz soll im Jahr 2017 erheblich gewachsen sein. So soll laut der Bremer Datenschutzbeauftragten, Imke Sommer, der Beschäftigtendatenschutz einen deutlich größeren Anteil der datenschutzrechtlichen Beschwerden in Bremen ausmachen. Nach dem Tätigkeitsbericht der Datenschutzbeauftragten weisen mittlerweile 20 % der Beschwerden einen Bezug zu Fragen des Beschäftigtendatenschutzes auf.
Der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, betrachtet den Beschäftigtendatenschutz als kommenden Tätigkeitsschwerpunkt im Bereich des Datenschutzrechts und hat deshalb einen Ratgeber für den Beschäftigtendatenschutz verfasst.
Unklar ist, ob das gewachsene Interesse in ein Beschäftigtendatenschutzgesetz erwächst. Zum aktuellen Zeitpunkt bestehen lediglich Forderungen nach einem Gesetz, jedoch kein Konsens dazu. Es bleibt abzuwarten, ob sich dies in der aktuellen Legislaturperiode ändert
